数据安全技术落地经验浅谈和分类分级实施
从法律说起
**本人博客网站 **IT小神 www.itxiaoshen.com
数字化经济下企业做数据化转型进行数据开发利用往往是先将原来分散各部门各业务系统的数据(业务数据如互联网用户数据、企业内部数据如人力资源系统、研发生产数据如核心技术或专利等)集中到大数据仓库中,这个集中化数仓安全重要性就非常凸显了,原来如果某个部门业务系统数据发生篡改、破坏、泄露、非法获取、非法利用的安全事件影响的只是局部而现在则是整个企业数据资产层面,可见数据安全已经明确上升到国家安全、整个企业、组织或机构安全的最高层级。
随着即将到来个人信息保护法2021年11月1日开始正式执行,至此中国已集齐了《网络安全法》、《数据安全法》、《个人信息保护法》三大安全法律顶层设计并进入全方位实施阶段,三大法律并不是各自独立而是相互结合、相辅相成的,共同构成了中国数据安全的法律保障体系,成为推动我国数字经济持续健康发展的坚实“防火墙”,这也标志着数据安全法制时代正式来临;因此在数字化经济发展时代的企业、组织或机构需要改变传统的“重生产,轻安全”的思维模式,特别是经常踩着数据应用红灯线运营的企业就更加要注意了。
越来越多的律师事务所加大力度积极投身于数据安全律法,研究企业数据安全运营合规性,如果您的企业有专门的法务部门,那恭喜您了,法务部门能够深度结合法律顶层设计来逐步剖析并在合规合法的条件协助企业内部各部门进行数据开发利用;然而大多数的企业甚至是从事数据安全产品或服务的企业没有这样内部资源,国内从事数据安全方向的企业也大都是中小型企业偏多具有一定安全技术背景,不少也参与国家、地方、行业安全治理标准的构建。数据安全不是一朝一夕、一蹴而就完成的工作,而且需要长期动态长效性运营。从数据安全法第二章节也可以看出国家统筹数据安全和发展的决心,数据作为生产基本要素是必须要开发利用的,但国家也会有条不紊的推进数据安全律法的执行,当然律法初期执行阶段会有一些相对缓和的处罚,目的保障数据安全的条件下发展数据经济。
看数据安全行业布局
一般有数据安全的需求初期项目建设渠道包括数据安全咨询服务企业如四大咨询等、企业级安全大厂如奇安信等、数据安全治理和数据治理的专业企业等,但笔者认为还有不能忽视另外团体,那就是从事数据安全法律师,有监管则必有处罚,有处罚则必有轻重,这也会使从事数据安全案件的律师行业发展,因此笔者认为从事数据安全企业如能和律师行业联合是如虎添翼,即可以得到法律深层解读又可以接触更多有数据安全业务需求的客户,接下来我们基于《数据安全法》来分析探讨下几个当前从事数据安全企业的行业布局方向
- 根据第一章第四条:维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力;第一章第十一条:国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。
- 从以上两条可以看出不管是数据境内或者境外开发利用,国家肯定数据安全治理全局的发展方向,数据安全需要在数据全生命周期的整体上动态的治理,关注基于企业业务场景化的数据安全,包含数据安全组织架构、数据安全管理体系、数据安全技术体系、数据安全运营体系,因此从这个方向上数据安全治理企业依赖数据安全治理专业理论框架为基础,深入研究数据安全理论、DSG、外国数据安全理论及律法、标准,系统性全盘统筹数据安全,脚踏实地,包括进一步细化企业的数据安全咨询服务、数据安全实施服务、数据安全技术产品、数据安全运营服务,目前看国内有不少数据安全治理专业公司(笔者在之前文章已有提到国内数据安全治理公司名单)已经在这个方向有所深入了,当然数据安全治理是可以独立分开,没有做标准的数据治理前提下先做数据安全治理是可以的。
- 根据第一章第六条:各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
- 从本条可以看到不管是国家机关、组织机构、各行业企业进行数据开发利用都是有监管要求,这里着重点是监管要求,这种强制性和及时性要求促使从事数据安全企业布局方向侧重点之一是满足各行业监管的要求,根据各行业已发布或者即将发布的逐渐细化的数据安全考核评分标准或细则构建数据安全实施服务,根据每一阶段考核逐步实施,如目前政务数据数据安全试行阶段,各市、县、区政府大数据局需要接受省政府大数据局的监管要求,可能需要提供如数据安全管理制度、数据安全分类分级工作结果、数据安全自查报告等佐证材料,根据每项分数计入考核结果。目前阶段也可以看出部分行业还没有比较细的考核要求,通过试行阶段收集数据安全工作开展较好的案例用于后续数据安全建设指南,笔者相信随着顶层法律执行后,随着快速而来将会有更多地方和各行各业进一步细化的法律条款和标准,数据安全工作将从萌芽期快速进入发展期阶段,因此基于监管要求业务的数据安全企业战略方向部署得快马加鞭;部署数据安全合规性检查的流程引擎,数据安全合规性可以支持数据安全责任明确、灵活定制数据安全制度等审批流程、RABA数据权限最小粒度化、数据安全审计等功能。
- 根据第一章第九条:国家支持开展数据安全知识宣传普及,提高全社会的数据安全保护意识和水平,推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和促进发展的良好环境。第二章第二十条:国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训,采取多种方式培养数据开发利用技术和数据安全专业人才,促进人才交流。
- 从以上两条可以看到国家在抓紧数据安全知识和意识传达,从这个基准点看可以布局于企业级数据安全培训机构方向,包含培训和数据安全管理人员专业证书认定,包含培训数据安全意识、数据安全法律、数据安全理论知识、数据安全管理总则、制度、规范流程建设指南、模板表单、数据科学、数据分析和数据挖掘、数据安全专业人员知识等。如果你的企业现在还没有数据安全的意识,那么得抓紧了,在当前信息化社会意识先行如行军打仗粮草先行的重要性,只有意识先跟上了数据安全落地实施也就不远了。
- 根据第二章第十六条:国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系。
- 从本条看国家大力提供数据安全技术研究和创新,比如目前有些数据安全技术研究企业研究零信任体系、可信计算、联邦学习隐私计算、区块链、IPFS数据安全技术应用等,不断探讨数据安全应用的技术落地的能性,数据安全治理是长期赛道,笔者也深度认为只有在数据安全有专业性、研究性、真正投入付出、掌握核心数据安全技术的企业才能屹立不倒笑到最后。
- 根据第二章第十八条:国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。
- 从本条看国家号召专业机构建设数据安全检测评估、认证服务体系,也即是可以布局数据安全检测技术产品或服务方向以及数据安全资质认证评估机构,数据安全检测包括提供基于不同国家机关、行业的数据安全检测可视化数据安全态势感知和发现数据安全问题;数据安全资质认证评估如DSMM数据安全能力成熟度模型乃至国外能力成熟度模型等级认证,有效期后重新评估企业安全等级,特别是从事数据安全治理的企业最好能尽快资格认证,自身数据安全等级资质具备才能更好、更有信服力开展对外部企业的数据安全业务。
- 根据第四章:第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。第四章第三十条:重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等
- 从上面两条以及第三章数据安全制度中也较多强调从国家层面的数据安全风险评估、监测预警、应急处置。数据安全治理是长期性、迭代性的工作,数据流转是动态的,从这也可以看出数据安全治理运营工作必要性,基于数据安全运营服务的方向行业布局,专注于运营阶段数据安全治理,提供数据安全监督检查及评价能力、数据安全运营服务的管理体系能力、技术工具支撑能力、运营基础能力培训能力等;包括数据安全检查制度、数据安全自查报告、数据安全风险评估预测系统,数据安全问题或事件发生实时监测及预警系统、提前建立相应数据安全事件及问题应急处置流程和处理实施,基于数据安全问题或事件发生后智能化启动应急处置。
- 第三章整篇幅都是数据安全制度,详细可查看数据安全法
- 从整个第三篇中可以看出目前阶段行业布局数据安全咨询服务的紧迫性,绝大部分企业组织是没有数据安全治理基础理论,数据安全来临但不知道从哪里入手做到哪里。而数据安全咨询服务可以以咨询专家加教练身份进入企业,调研企业实际情况、分析企业数据安全现状给企业提供数据安全综合解决方案并协助企业将数据安全实施落地和结果反馈、迭代优化到预期的阶段性成果达成。
数据分类分级实施概述
如果你的企业、组织或机构想要做数据安全治理,不想花费昂贵的费用那可以跟着小编一起来学习、分享然后根据企业实际情况调整和实施,本篇主要探讨数据安全制度的数据分类分级基础工作
- 首先在企业组织战略、高层次层面成立企业数据安全组织架构,成立一个自顶向下决策层-管理层-支持层和外加一个贯穿整个数据安全治理全程的监督审计监督层(有点类似企业项目管理QA智能)全方位数据安全团队,明确责任及定人定岗。很多人有疑问引入数据安全后企业操作流程繁琐工作量增大及成本明显增加,这就需要企业先权衡评数据安全投入和数据开发利用的价值对比,这就需要在合规合法前提下选择企业所关注进行投入,除了必要流程其他流程是可以适当简化的。后续有时间单独讨论咨询服务课题再详细剖析,详细参见数据安全治理白皮书。
- 其次建立数据安全管理体系,从数据安全总则、制度、指南、表单模板的四级文件,依据顶层数据安全总则纲要并逐层拆分和细化,如数据安全分类分级目标、数据安全分类分级制度、数据安全分类分级建设指南、数据安全分类工具表单模板等,后续有时间单独讨论咨询服务课题再详细剖析
数据分类分级
数据调研
- 与数据部门、业务部门、职能部门沟通了解数据范围、业务数据大体分布,人工收集机密数据、核心数据、重要数据、敏感数据或规则标识,是否有国家机密数据特别是针对政务公共数据。
- 数据资产发现,可以借助行业数据资产发现工具或者人工、脚本实现都可以,形成数资产统计概况、全面盘点企业的数据资产
- 数据资产发现工具可以发现已有数据格式的文件的结构化、半结构化、非结构化的数据
- 有基于网络流量分析方法(网络旁路或串行都可以)和数据存储终端部署探针扫描方法(支持多操作系统如linux、mac、windows终端)
- 形成数据资产概览和数据分布
- 数据数据资产的发现对数据进行标准化,形成数据字典和数据资源目录
- 明确数据范围和数据分类分级目标
数据分类分级实施方案
- 可以依据国家标准、地方标准、行业标准编制实施框架,如大数据 数据分类指南、行业数据分级指南,比如
- 根据企业关注点和业务场景需求明确分类分级原则、选择分类视角、分类分级维度、分类分级方法
- 制定数据分类分级初步结果评估、定期评估、审核、批准、变更维护工作流程或方法
数据分类分级实施
数据预处理工具
- 将元数据等信息导入mysql数仓,如果数据量大可以到hive表大数据数仓中,对于数据需要做一些处理和加工、分析挖掘可以借助Python语言数据分析低成本和方便性,安装anaconda环境、使用pycharm IDE或者jupyter notebook编辑器,使用单机版python数据分析numpy(数值计算、支持大量的维度数组与矩阵运算,封装数学函数库和运算)、pandas(数据分析、数据挖掘,如处理表格数据)、matplotlib(Python 2D-绘图领域)和scikit-learn单机版机器学习内置常用机器学习算法如分类、回归、聚类、降维、模型选择、预处理等,当然数据量大的可以使用分布式spark MLlib和Flink的机器学习了。后续我们再专门学习人工智能再来阐述
数据分类分级工具或者编写脚本、程序处理
- 基于标识匹配、正则匹配规则处理
- 收集元数据数据字典等资源与真实数据库不能完全对比关联处理
- 通过元数据和探查自动化填充一些的分类维度
- 基于不同行业数据应用维度的数据属性进行机器学习、NLP分类
- 基于不同行业数据结合国家法律进行机器学习、NLP分级
- 结果人工二次审核,基于审核确认数据训练模型并预测新的数据
数据维度处理
从数据管理维度、数据应用维度、隐私保护维度、数据对象维度进一步补充数据维度,详细可以参考分类分级标准,如
评估是否满足分类管理和分级保护预期目标
数据分类分级交付清单输出
- 数据分类分级实施报告
- 数据分类分级收集和处理资料数据概况分析
- 数据分类、分级依据
- 数据分类图表示例
- 数据分类实施过程说明
- 数据分类清单
- 数据表层级分类
- 数据分级清单
- 数据字段层级定级
- 表字段最大级别作为数据表层级定级
- 数据分类分级实施报告
数据安全技术落地经验浅谈和分类分级实施相关推荐
- SVN使用中的经验浅谈
上一篇博客简单讲了在合作开发项目时使用SVN的准备工作,而这篇博客则重点在使用中的规范也好,注意事项也好或者使用规则也好.简单说一下使用他的小小经验! 在合作开发项目开始前,贾琳师哥向我们提出了使用S ...
- 上海2014科目二注意事项及经验浅谈(龙泉驾校)
上海2014科目二注意事项及经验浅谈(龙泉驾校) 刚通过科目二考试,其间辛苦与压力,唯有同道之人可知.得益于网络分享,今也总结一番,希望对有需要的人有所帮助. 首先为大家提供倒桩与S弯的方法(这里讲的 ...
- 数据安全分类分级实施指南_不平衡数据集分类指南
数据安全分类分级实施指南 重点 (Top highlight) Balance within the imbalance to balance what's imbalanced - Amadou J ...
- WMS系统条码作业项目实施经验浅谈
随着市场环境的变化,对现代的企业在物料仓储的仓库,都有了更高的管理要求,以顺应市场的变化,无论是传统的制造企业.贸易公司.电商公司.还是物流供应链公司,都产生了对仓库管理的变革需求,而不再是传统的进销 ...
- 用户数据表设计借鉴 浅谈数据库用户表结构设计,第三方登录 基于 Token 的身份验证
最近对用户数据表的设计比较感兴趣,看到了两篇比较好的文章. 浅谈数据库用户表结构设计,第三方登录 转载于: https://www.cnblogs.com/jiqing9006/p/5937733.h ...
- python数据类型转换原因_浅谈Python数据类型之间的转换
Python数据类型之间的转换 函数 描述 int(x [,base]) 将x转换为一个整数 long(x [,base] ) 将x转换为一个长整数 float(x) 将x转换到一个浮点数 compl ...
- 从数据中台实践,浅谈数据质量管理
时代背景 近20年来,我国的科学技术发展日新月异,各种新兴技术层出不穷,深刻的改变着各行各业,也改变着我们的生活.大数据.云计算.人工智能的出现更是将技术革命推向了高潮.在这种背景下,继农业经济.工业 ...
- 数据论文的意义与写作经验浅谈
目的:促进数据分享和再利用,帮助他人再使用数据 内容:详细描述数据,包括数据产生的方法.质量控制等等 要求:数据必须共享,元数据详细 数据论文的意义 促进数据分享和利用 数据期刊 Global Car ...
- 数据治理系列:浅谈数据质量管理
题外话:看过之前的文章的小伙伴不难发现,文章开篇几乎都是定义.概念,这已成了笔者写文章的一个习惯.本着对专业知识和技术的敬畏以及对文章主题的聚焦,笔者认为文章的开篇是非常有必要先把概念或定义交待清楚的 ...
- IDC机房运维经验浅谈
一. 什么是IDC机房运维? IDC机房运维涉及到方方面面的问题,它不同于其他运维,处理的问题都是比较低沉的问题.在很多公司可能都是将服务器托管的到专门的IDC机房让专业的人士进行维护, ...
最新文章
- 后退N帧协议-GBN
- Longest Substring Without Repeating Characters
- 222. 完全二叉树的节点个数 golang
- Android添加Header请求参数实例,java响应header请求实现demo
- 高效java工具类总结
- test dword ptr [eax],eax ; probe page.
- php禁用错误提示,php开启与关闭错误提示详解
- 基于C#语言的可编程表达式计算器设计
- python架构师是做什么的_架构师的工作都干些什么?!想做架构师必看!
- Afc2add与AppSync
- 文件和文件之间的 相对路径 绝对路径的访问(之前总是容易忘记)
- Vue学习之旅----vuex不同组件间数据共享-状态一致
- 安装DevExpress后如何在工具箱显示Dev控件
- 获取经纬度中心点函数工具,经纬度面积算法,D3js,xy轴转为经纬度算法,六代度坐标转换为经纬度
- A03-arcgis无法统计地块面积常见问题及解决方案
- 耀世升级发布,阿里新出第三版Java多线程核心技术手册PDF全彩版
- 阿里云网站备案-注销备案的办法
- 现在买房子,傻瓜才掏钱
- c语言编写拆字程序,倒计时器 单机课程设计.doc
- 中文输入法怎样使用日语键盘(106/109)?